(Por El Microsaurio) Era un chiche, andaba bárbaro, y (parece que) lo quemaron. A esta altura del partido más vale abreviar y aclarar, para que se entienda el título. De todas manera, la mayoría de las empresas productoras de suites antimalware ya detectan esta porquería, así que no, no se cae la Internet, no te quedás sin PC, no se viene una ciberepidemia, pero lo que hay, es otro culebrón…
Vamos a los hechos.
Un “acceso directo” en Güíndous es algo más que un iconito con una flechita debajo. Hacés clic ahí y, oh maravilla, se abre Word, por ejemplo. Los archivos que hacen ese trabajo tienen la extensión “.LNK”
Ahora copio-traduzco-adapto la definición del problema de seguridad de los archivos que redactó para el SANS Institute don Josh Bronson, de la empresa Tipping Point: “…existe un error de diseño en el código de Windows usado para abrir por archivos LNK (…) un atacante puede usar esta vulnerabilidad para ejecutar código con los permisos del usuario (…) para ser atacado, el usuario solamente tendrá que abrir la carpeta donde esté el archivo LNK malicioso…”
Vos recibís un pendrive. Lo metés en la compu. Como sos repiola, tu “autoarranque de discos externos” por supus está deshabilitado. Entonces, vos lo abrís haciendo doble clic en su iconito dentro de “Mi PC”. Si ahí adentro está grabado un archivo LNK maligno, y tu antivirus no está actualizado, fuiste. No hace falta que le hagas clic al archivo, ¿entendiste?
Ahora, la novela.
Gracias a las investigaciones de una empresa de Bielorrusia, BlokAda, y luego el laboratorio de Eset, se averiguó que el malware presentaba (mirá vos) dos Certificados Digitales que lo identificaban como software producido por la empresa Realtek, en un caso, y JMicron Technology, en el otro.
Bueno… ¿un caso de descuido en dos empresas?
Pero resulta que ambas empresas tienen sus oficinas a unas cuadras una de otra, dentro del Parque de la Ciencia Hsinchu, en Taiwán, también llamado “el Silicon Valley de Taiwán”. Si te fijás en la lista de empresas radicadas ahí que está en esta otra página, es interesante…
Dentro del código del malware hay referencias a un producto de Siemens, usado en SCADA. Sobre la utilización de SCADA como sistema de control en centrales atómicas, usinas y grandes fábricas de la industria pesada, y sus riesgos, fijate lo que escribimos el año pasado.
Para terminar, un email del cual de ninguna manera daré el link decía la semana pasada: “…y habrá que saber a) si al idiota que desperdició esa excelente herramienta de intrusión (se refiere al malware) lo sacaron a patadas, o si b) la difusión fuera de los blancos asignados no es más que una excelente cortina de humo, para borrar las huellas de una operación exitosa…”
Los “blancos” serían empresas, usinas o centrales donde se puso el malware para robar información. Espionaje industrial, como sugirió, en otro lado, Elinor Mills de CNET. Y para redondear, una frase de Pierre Marc Bureau, de Eset: “…el cambio un certificado por otro (…) muestra que los atacantes disponen de significativos recursos…”
A mí me parece que está hablando de plata.
Para otra nota quedan los consejos de Microsoft y de Siemens. Cuando me entere de algo más, la seguimos.
Warning: Uninitialized string offset 21 in /www/tecnozona.com/htdocs/wp-includes/functions.php on line 291
Warning: Uninitialized string offset 21 in /www/tecnozona.com/htdocs/wp-includes/functions.php on line 291